2017年6月15日

株式会社Doctor Web Pacific

マイニングトロイの木馬は感染させたデバイスのコンピューティングリソースを使用して仮想通貨をマイニングする悪意のあるプログラムです。Doctor Webのアナリストは、Windowsコンピューターを感染させる能力を持ったそのようなトロイの木馬の1つについて調査を行いました。

Trojan.BtcMine.1259 と名付けられたこの悪意のあるプログラムは、仮想通貨Monero (XMR)をマイニングするよう設計されていました。このマイナーは Trojan.DownLoader24.64313 によってコンピューター上にダウンロードされ、さらに、この Trojan.DownLoader24.64313 はバックドアDoublePulsarによって拡散されます。

起動されると、 Trojan.BtcMine.1259 は感染させたコンピューター上で自身のコピーが動作していないかどうかを確認します。次に、プロセッサのコア数を確認し、その数がトロイの木馬の設定ファイル内で指定されたスレッド数よりも多いか、または同じであった場合は、自身の本体内に保存されたライブラリを復号化してメモリ上にロードします。このライブラリは、Gh0st RATとして知られる、オープンソースコードを持ったリモート管理システムの改変されたバージョンです(Dr.Web Anti-virusによって BackDoor.Farfli.96 として検出されます)。続けて Trojan.BtcMine.1259 は自身のコピーをディスク上に保存し、それをシステムサービスとして起動させます。正常に起動されると、設定ファイル内で指定されたアドレスのC&Cサーバーからアップデートをダウンロードしようと試みます。

仮想通貨Moneroをマイニングするよう設計されたメインのモジュールもまた、ライブラリとして実装されており、 Trojan.BtcMine.1259 には32ビット版と64ビット版の両方のマイナーが含まれています。感染したコンピューター上でいずれのトロイの木馬が実行されるかは、OSのビット数によって決まります。このモジュールの設定ファイルでは、仮想通貨のマイニングに使用されるプロセッサのコア数とコンピューティングリソース量、マイナーが自動的に実行される間隔、およびその他のパラメータが指定されています。 Trojan.BtcMine.1259 は感染したコンピューター上で実行中のプロセスをトラッキングし、タスクマネージャーの起動が試みられると、自身の動作を終了させます。

マイニングトロイの木馬が初めて登場したのは6年以上も前のことになりますが(2011年にTrojan.BtcMine.1のシグネチャがDr.Webウイルスデータベースに追加されています)、サイバー犯罪者は依然として、ユーザーの許可なしにコンピューターリソースを使用する悪意のあるプログラムの拡散を続けています。コンピューターがこのようなプログラムに感染していることを示す兆候には、システムの処理速度低下やCPUの過熱が挙げられます。Dr.Web Anti-virusは Trojan.BtcMine.1259 とその全てのコンポーネントを削除することができます。そのため、Dr.Webユーザーに危害が及ぶことはありません。

Trojan.BtcMine.1259の詳細(英語)